分保、等保、关保、密码应用对比详解
-
1994年2月,国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”的制度框架。
-
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(公通字[2007]43号),形成信息安全等级保护的基本理论框架。
-
2008年6月,《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》标准正式颁布。
-
2014年2月,中央网络安全和信息化领导小组成立。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;李克强、刘云山任副组长。
-
2017年6月1日,《中华人民共和国网络安全法》正式实施。明确了“国家实行网络安全等级保护制度”,同时第七十四条明确规定“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”自此,公安执法部门有了安全执法依据。
-
2019年12月1日,GB/T 22239-2008 等级保护基本要求更新为《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》,针对信息技术的发展对标准要求进行了更新。
2、分级保护标准(保密标准:BMB):
-
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。
-
2004年12月23日中央保密委员会下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。
-
2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》。
3、关键信息基础设施网络安全保护(国家标准:GB,今年7月正式发布)
-
2016年12月,全国信安标委秘书处邀请专家研讨《关键信息基础设施网络安全框架》标准,并讨论关键信息基础设施安全保护现状;
-
2018年06月,全国信安标委秘书处发布《信息安全技术 关键信息基础设施网络安全保护要求》征求意见稿。
-
2019年11月5日,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)完稿。
-
2019年12月3日,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动。
-
2021年7月份,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。
4、信息系统密码应用基本要求(国家标准:GB,于今年3月份正式发布)
-
2018年2月,国家保密局正式发布实施密码行业标准《GM:T 0054-2018信息系统密码应用基本要求》。
-
2018年2月,经国密局批准,行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标《信息安全技术 信息系统密码应用基本要求》。2018年7月获得国家标准化管理委员会的立项批准。
-
2019年6月,全国信安标委秘书处发布《信息安全技术 信息系统密码应用基本要求》征求意见稿。
-
2021年3月,国家正式发布国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,于2021年10月1日起实施。
1、分级保护标准(简称:分保)
a)管理对象:所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。
b)标准要求文件:
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
c)系统定级:根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。
d)分级保护部分涉及产品(仅供参考):屏蔽机房、手机屏蔽柜、保密文件柜、红黑隔离电源、微机视频信息保护系统、手机屏蔽仪、主机监控与审计系统、光盘刻录监控和审计系统、打印监控和审计系统、三合一(违规外联监控、涉密移动存储介质使用管控、非涉密信息单向导入)系统、涉密专用优盘、存储介质信息消除工具、计算机终端保密检查系统、恶意代码辅助检测系统、保密碎纸机、存储介质销毁机、身份鉴别系统等等。
2、等级保护标准(简称:等保)
a)管理对象:
运营商和服务提供商:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
重要行业:铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
重要机关:市(地)级以上党政机关的重要网站和办公信息系统。
b)标准文件:
GB-T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
GB-T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
GB-T 22240-2020 《信息安全技术 网络安全等级保护定级指南》
GB-T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB_T 25058-2019 《信息安全技术 网络安全等级保护实施指南》
c) 系统定级:
信息系统的安全防护共分为以下五个等级:
第一级(自主保护级 )
第二级(指导保护级 )
第三级(监督保护级 )
第四级(强制保护级 )
第五级(专控保护级 )
3、关键信息基础设施网络安全保护(简称:关基、关保)
a)管理对象:电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
b)标准文件:《信息安全技术 关键信息基础设施网络安全保护基本要求》2019年11月报批,未正式发布
c)什么是关键信息基础设施(CII:critical information infrastructure)?
支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。
d)关键信息基础设施安全防护能力等级有几个?
关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。
能力域明确了运营者在关键信息基础设施安全防护所需具备的能力,包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。
能力等级及特征如下表。
表 安全能力等级及特征
关键信息基础设施安全防护能力等级 |
|
|
|
|
|
|
|
e) 关键信息基础设施安全防护能力评价内容及方法是什么?
关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。
关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中;对应能力等级2的关键信息基础设施等级保护测评结果应至少为良;对应能力等级3的关键信息基础设施等级保护测评结果应为优。
4、密码应用基本要求
a)管理要求:信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。
b)标准文件:行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标GM/T 39786 2021《信息安全技术 信息系统密码应用基本要求》,现已正式发布。
c)系统定级:
-
第一级,是信息系统密码应用安全要求等级的最低等级,信息系统管理者可按照业务实际情况自主应用密码技术应对可能的安全威胁。
-
第二级,是在第一级的等级要求上,要求信息系统具备身份鉴别、数据安全保护的非体系化密码保障能力,可应对当前部分安全威胁;
-
第三级,是在第二级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,要求信息系统建设有规范、可靠、完整的密码保障体系,是体系化密码应用引导性要求;
-
第四级,是在第三级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,信息系统建设有规范、可靠、完整、主动防御的密码保障体系,是体系化密码应用的强制要求;
三、网络安全防护建设过程中的十问:
1、去网安部门做了备案,拿到备案证明,是否等于通过等保?备案后多久需要完成等保测评?
2、通过等级保护测评以后,是不是不会再出安全事故?
-
骇客能力超过了业务系统所对应等级的防护强度
-
网络安全防护设计存在不足、网络安全设备未有效使用或策略设置不当、设备厂商出现漏洞被骇客利用、设备规则库未及时更新或无法满足业务系统所需性能等
-
安全管理制度落实不到位、安全管理人员缺乏培训(安全能力、安全意识不足)、应急演练不足(出现安全事件时不能及时有效应对)等
3、拿到等保测评通过证书后,一但出现安全事故是否可以规避或减轻追责?
-
等保工作没有开展,出了网络安全事故,安全责任肯定是甲方自己去承担。
-
等保工作开展了,高危风险没有及时去整改,出了问题,安全责任主要责任也是甲方的。
-
等保工作开展了,测评机构测评不合规,对已有高危风险未检测出而导致的安全问题,主要责任应当由测评机构承担,甲方负有次要责任。
-
等保工作开展了,发现的高危风险及其他风险也及时整改了,出了网络安全事故,主要责任不属于甲方。
4、我已经上了安全设备,为什么还会出现出安全事故?
-
网络安全建设规划不当:网络架构不合理;系统安全区域划分不合理;安全设备部署位置不当;安全设备功能及策略规划不合理等
-
网络安全运维管理不足:网络设备规则库未及时更新;性能不能满足业务系统需求未及时更换;信息系统设备及网络安全设备管理权限不清晰、责任划分不明确等
-
安全管理执行不到位:安全管理制度浮于形式;网络安全人员培训不足,对新型威胁及行业发展动态了解缺乏;应急响应方案设计不当;应急演练进行过少,出现网络安全事件时反应不当、反应不及时等。
5、应该如何选择安全厂商的产品?
网络安全建设实践过程中,我们应从等保合规和业务系统实际安全风险两个角度区选择产品:
-
当信息系统相较无特殊安全风险时,产品的选择基本遵从等保合规的角度出发,选择有相关认证证书的产品优先。如“计算机信息系统安全专用产品销售许可证”,“中国国家信息安全产品认证证书”,“计算机软件著作权登记证书”,“信息技术产品安全分级评估”,“涉密信息系统产品检测证书”,“军用信息安全产认证证书”等;大部分主流安全厂商常规合规产品基本都能满足,如启明星辰、天融信、网御星云、奇安信(原360企业安全)、深信服等。
-
当信息系统有特殊安全风险时,产品除了满足等保合规的基础上,也要考虑特殊安全风险的防护,而这些特殊防护需求的安全防护设备是一些主流厂商没有或者不具优势的。如业务系统数据库中有公民个人信息,而业务系统有外包开发或对外提供公民个人数据印证等情况,则涉及到数据脱敏相关设备;信息系统覆盖范围大、信息端口多,存在非法设备内联网络的风险,则涉及到网络准入相关设备;如业务系统操作者操作责任关联现实身份较强,涉及到操作失误后操作者身份的认定,身份鉴别需求较高,则涉及到CA数字证书相关设备等。
6、网络完全建设时,是采购同一厂商的产品比较好,还是采购不同厂商的产品比较好?
-
网络安全建设时,采购同一厂商同一品牌的产品好处在于后期安全运维难度较小、后续安全服务保障更好,会一定程度的降低安全管理人员的能力需求和运维压力;缺点是该厂商出现安全漏洞时安全风险加大,厂商服务不到位时替换成本较高,依赖性强等。
7、在预算有限的情况下,该如何合理的进行网络安全防护建设?
8、在对产品性能指标不太了解的情况下,该选择什么性能的产品?
-
下一代防火墙:主要为吞吐量、应用层吞吐量、并发连接数、每秒新建连接数,主要考虑设备部署位置实际业务数据带宽。需注意的是吞吐量参数不等同于实际可管理带宽能力,不同厂商的相同吞吐量设备,因厂商设备硬件配置差异、软件优化差异等存在一定差异;特别是当下一代防火墙开启入侵防御、病毒查杀、VPN等功能后,其实际防护流量大幅下降的情况下。在无法有效判断的情况下,可以考虑设备测试后再行采购。
-
上网行为管理:主要为可管理带宽(推荐带宽)、最大可管理人数,主要考虑互联网出口带宽及互联网访问人数。
-
堡垒主机、日志审计:主要为授权管理设备数,主要考虑需管理的网络设备及系统数量。
9、供应商提供一份产品采购清单后,承诺一定可以通过等保测评,是否可信?
-
先测评再整改:可以根据等级保护测评机构现场初测后的专业建议进行整改,有的放矢。但如单位本身风险较大、较多的情况,涉及到设备采购,需要方案立项、申请预算、招投标、合同供货等流程后,等保测评机构再次测试通过才可以取得测评通过证书。适合于对通过测评时间不迫切,本身网络安全建设了解不足、无专业人员协助网络安全建设规划的单位。
-
先整改再测评(测评、整改同时进行):通过专业人员/专家的指导协助,提前对网络安全风险点进行加固,争取等级保护测评机构现场测评时一次通过。但需要单位本身对网络安全建设标准由一定的了解,指导协助的专业人员不光对政策标准有足够的研究,且对网络安全建设有足够的项目经验。适合于通过测评时间有要求,自身对网络安全建设标准有一定的研究或有适合的专业人员协助的单位。
10、为什么不同供应商提供的方案清单会有不同,有的所采购的产品不同,有的同一产品采购的数量不同?
-
同样要达成“网络区域边界”要求中的“边界防护”“访问控制”“入侵防范”,是采用“下一代防火墙+开启入侵防御模块”(设备+模块)仅采购一台设备的方式,还是采用“下一代防火墙+入侵防御系统”(设备+设备)采购两台设备的方式,就需要结合业务系统的实际情况以及相关厂商设备的功能性能实现来决定。在这需要说明一点,厂商的网络安全设备都是由硬件+软件组成,其实际性能取决于所配置硬件的基础算力和软件算法优化的程度决定的。采用“设备+模块”必然对设备的性能有所影响。而采用“设备+设备”由于两台设备的硬件都是为自身软件服务,性能上有保障。另外由于采用“开启入侵防御模块”的方式,其软件模块在安全防护功能的实现深度上必然不如单独的“入侵防御系统设备”。不过采用“设备+模块”的方式由于出口网络仅串联一台设备,故而其出现单点故障的几率和产品性价比上要优于采用“设备+设备”的方式。
结论:采用“设备+模块”的方式,在产品性能及安全功能实现细节上要逊于“设备+设备”的方式,但在设备故障几率和价格上要优于“设备+设备”的方式。“设备+模块”的方式适用于网络安全防护流量较小、安全预算较少、对安全防护能力要求较低的单位;而“设备+设备”的方式适用于网络安全防护流量较大、安全预算充足、对安全防护能力要求较高的单位。
-
互联网出口、上/下级网络联网出口、服务器前端都部署下一代防火墙是不是为了多上设备坑预算,等保标准又没有明确要部署。实际上不同位置的实现的功能效果及部署策略都是不同的,互联网出口的防火墙主要过滤和防御来自互联网的未知来源威胁,访问的业务相对较复杂,需要设置的防护策略相对较复杂、较难屏蔽安全风险因素;而上下级网络由于相对较安全,其访问来源可控,访问业务较明确,需要设置的防护策略相对较简单明了、比较容易屏蔽来自上下级网络的安全风险因素;而服务器前端部署防火墙,由于服务器业务访问的地址、端口、协议等相对比较清晰简明,在做安全防护策略时可以有针对性的屏蔽非业务访问,有效堵截攻击者的攻击手段。